VULHUB ™

SimpleInvoices stable-2012-1-CIS3000之前版本中存在多个跨站脚本漏洞。通过（1）manage动作中的having参数发送至index.php；（2）Add User动作中的Email字段；（3）Add Customer动作中的Customer Name字段；Add Biller动作中的（4）Street地址1，（5）Stree地址2，（6）City，（7）Zip code，（8）State，（9）Country，（10）Mobile Phone，（11）Phone，（12）Fax，（13）Email，（14）PayPal账号名，（15）PayPal通知url，（16）PayPal返回url，（17）Eway客户ID，（18）Custom字段1，（19）Custom 字段2，（20）Custom字段3，或（21）Custom字段4等字段；（22）Add Invoice动作中的Customer字段；Process Payment动作中的（23）Invoice或（24）Notes字段；（25）Payment Types动作中的Payment类型描述字段；（26）Invoice Preferences动作中的Description字段；（27）Manage Products动作中的Description字段或者（28）Tax Rates动作中的Description 字段，远程攻击者可利用该漏洞插入任意网页脚本或HTML代码。

SimpleInvoices stable-2012-1-CIS3000之前版本中存在多个跨站脚本漏洞。通过（1）manage动作中的having参数发送至index.php；（2）Add User动作中的Email字段；（3）Add Customer动作中的Customer Name字段；Add Biller动作中的（4）Street地址1，（5）Stree地址2，（6）City，（7）Zip code，（8）State，（9）Country，（10）Mobile Phone，（11）Phone，（12）Fax，（13）Email，（14）PayPal账号名，（15）PayPal通知url，（16）PayPal返回url，（17）Eway客户ID，（18）Custom字段1，（19）Custom 字段2，（20）Custom字段3，或（21）Custom字段4等字段；（22）Add Invoice动作中的Customer字段；Process Payment动作中的（23）Invoice或（24）Notes字段；（25）Payment Types动作中的Payment类型描述字段；（26）Invoice Preferences动作中的Description字段；（27）Manage Products动作中的Description字段或者（28）Tax Rates动作中的Description 字段，远程攻击者可利用该漏洞插入任意网页脚本或HTML代码。